比特币私钥生成命令行工具 “bx seed” 存在弱随机性的重大漏洞，现已修复

ChainCatcher 消息，milksad.info 团队发文称，7 月 21 日发现比特币 libbitcoin-explorer（命令行工具 bx）中存在一个名为“milk sad”重大漏洞。目前，GitHub 页面已显示该漏洞已于今日修复并将“bx seed”命令删除。

“bx seed”工具生成助记词时，仅使用系统时间作为随机性来源，因此“bx seed”只能生成约 40 亿助记词中的一个，攻击者很容易重新生成这 40 亿个助记词。该团队发现超过 2600 个基于“bx seed”熵、活跃度高的比特币钱包，其中在 2018 年都有相似的小额存款。Cake Wallet 与 Trust Wallet 也存在类似漏洞，其他钱包没有受到该漏洞影响。

该漏洞于 5 月 3 日已被黑客利用，最严重的盗窃发生于 7 月 12 日，共有 29.65 枚 BTC 被盗，价值约 87 万美元。该文称，至少约 90 万美元被盗资产已被转移。同时，不仅是 BTC，ETH、XRP、DOGE、SOL、LTC、BCH、ZEC 代币均确认被盗。该文称，当其将技术漏洞详细信息于披露背景发送给 Libbitcoin 团队时，它们两次回复均不认为这是一个漏洞。同时，“bx seed”也出现在《Mastering Bitcoin》一书中，该书此前亦未警告用户“bx seed”不能生成安全随机数，mildsad 团队已通知该书作者以进行修改。